您的数据安全是我们的首要任务

dTax 仅收集您明确提供的交易记录 — 通过 CSV 上传或只读 API 同步。我们绝不收集私钥、钱包助记词或提款凭证。我们无法以任何方式移动、使用或访问您的资金。

交易所 API 密钥使用 AES 加密存储，配合专用 ENCRYPTION_KEY。用户密码使用 bcrypt（12 轮）哈希 — 我们从不存储明文密码。所有认证使用无状态 JWT 令牌，最小化服务端会话攻击面。

交易所连接使用 CCXT 只读模式 — 不请求也不支持提款或交易权限。用户数据在数据库层面通过行级安全原则进行隔离，确保用户之间的数据完全独立。

不想将财务数据托管给任何人？使用 Docker 自托管 dTax，所有数据保存在您自己的服务器上。核心税务引擎基于 AGPL-3.0 开源 — 您可以检查每一行接触您数据的代码。

JWT 令牌配合刷新轮换机制，确保安全的无状态认证。速率限制防御暴力攻击：全局 100 次/分钟，登录 10 次/分钟，注册 5 次/分钟。基于角色的访问控制分离用户和管理员权限。

dTax 的税务引擎完全在 GitHub 上开源。每一个计算、每一个解析器、每一个算法都可供社区审计。没有隐藏的数据收集，没有遥测，没有分析 Cookie。代码中看到的就是实际运行的。

dTax 遵循 OWASP Top 10 安全指南。所有用户输入通过 Zod 模式验证。使用 Prisma ORM 参数化查询防止 SQL 注入 — 无原始 SQL。生产环境中 API 响应不会泄露内部错误细节。